技術領域

本發明涉及移動通信技術，尤其涉及一種重認證方法、系統及鑒權裝置。

背景技術

隨著技術的發展，現代通信對移動性的要求越來越高，當前的移動通信要求終端在移動或漫游場景下能正常地進行通信。所謂移動，就是指終端的接入點(Attach?Point，AP)隨著終端的移動而發生變化。終端從舊的接入點移動到新的接入點需要執行一系列的步驟，包括：離開原來的接入點，進行新的接入認證，在新的接入點處建立相應的配置關系。在終端從舊的接入點到新的接入點切換的這段時間里，通信將出現暫時的中斷或者延時，對于一些對實時性要求很高的業務(例如即時通信)而言，中斷是難以忍受的，且延時越短越好。然而在現實的應用中，通常這個延時遠遠超出了實時性業務所能承受的極限。出現這一結果很大程度上是因為執行新的入網認證需要花費較長的時間，而入網認證耗時較長的直接原因包括：

1.目前采用的認證方式需要終端與認證服務器之間執行多輪交互；

2.當終端在外地時，認證依然需要在家鄉認證、授權和計費服務器(Authentication，Authorization?and?Accounting，AAA)處執行。

為了提高用戶的體驗，不同的通信系統采取不同的措施來減少這些時延。目前提出的解決認證耗時過長的基本方法包括：通過認證的本地化來減少每個認證交互消息的往返時間(Round?Trip?Time，RTT)和通過減少認證流程中的消息交互次數來減少時延。

目前常用的減少認證時延的方法是快速重認證，所謂快速重認證就是通過移動節點與網絡側的認證服務器的身份認證，將以前認證所產生的授權或配置信息繼承下來，由于無需重新生成授權及配置信息，因此快速重認證所需的交互及所做的工作少于普通的認證，節省了認證時間。如圖1所示，為現有技術中一種快速重認證方法流程圖，采用了EAP(Extensible?Authentication?Protocol，EAP)快速重認證協議(EAP?Re-authentication?Protocol)，該方法包括：

步驟101、移動節點MN在初次進行入網認證時，與其家鄉AAA共同產生用于快速重認證的重認證材料，該重認證材料包括用于快速重認證的重認證根密鑰rRK。

步驟102、移動節點MN的家鄉AAA將生成的重認證材料發送給Hokey服務器，所述Hokey服務器位于MN的潛在拜訪網絡內。

步驟103、當移動節點MN通過認證服務器接入拜訪網絡的時候，認證服務器向MN發送重認證觸發消息EAP-initial/re-auth-start。

步驟104、如果MN支持重認證，則MN根據之前與家鄉AAA產生的重認證根密鑰rRK生成重認證響應消息EAP-initial/response，并通過認證服務器將該EAP-initial/response發送給Hokey服務器。該響應消息中包括由重認證完整性保護密鑰(re-authentication?integrity?key，rIK)生成的第一驗證信息，其中rIK是由重認證根密鑰rRK根據一定的規則生成的。

步驟105、Hokey服務器收到MN發出的EAP-initial/response后，驗證其中的第一驗證信息，驗證通過后，即Hokey服務器認為EAP該移動節點MN通過了網絡接入認證后，Hokey服務器構造EAP結束消息EAP-finish，該EAP結束消息中攜帶由rIK生成的第二驗證信息以及由rRK生成的重認證主會話密鑰(re-authentication?master?session?key，rMSK)。

步驟106、Hokey服務器向認證服務器發送該EAP結束消息。

步驟107、認證服務器收到該EAP結束消息后，保存其中的rMSK。

步驟108、認證服務器向移動節點MN發送該EAP結束消息。

步驟109、移動節點MN收到該EAP結束消息后，驗證其中的第二驗證信息，如果驗證通過，則意味著移動節點MN和Hokey服務器擁有相同的rRK，MN與Hokey服務器之間的驗證過程完成。

步驟110、MN將與認證服務器之間通過四次握手(4-way-handshake)進行相互認證。

上述步驟104中，如果MN不支持重認證，那么認證服務器不會收到MN發送的EAP響應消息，這時可以設置認證服務器經過一定間隔后，向MN發送EAP請求消息，請求MN的ID，這個過程與重認證無關，這里不再進行介紹。